對(duì)企業(yè)CTO、CIO、CSO們而言，Java一直是一個(gè)很難攻克的難題。在當(dāng)今的企業(yè)環(huán)境中，以禁用Java等方式來(lái)緩解Java風(fēng)險(xiǎn)很難實(shí)現(xiàn)。一般來(lái)說(shuō)，Java都是嵌入在能夠保持企業(yè)競(jìng)爭(zhēng)力的企業(yè)關(guān)鍵業(yè)務(wù)應(yīng)用中。然而遺憾的是，犯罪分子們總是利用Java零日漏洞來(lái)入侵用戶電腦。這也正是Websense安全實(shí)驗(yàn)室的安全專家們?cè)谶^(guò)去幾個(gè)月內(nèi)一直堅(jiān)持研究并記錄Java安全風(fēng)險(xiǎn)嚴(yán)重性的原因所在。

Websense安全專家們初步研究了Websense ThreatSeeker智能云收集到的一系列記錄數(shù)據(jù)，這些數(shù)據(jù)顯示了當(dāng)前Java版本的使用情況。Websense安全專家研究之后發(fā)現(xiàn)，Java威脅是普遍存在的，93%的網(wǎng)絡(luò)計(jì)算機(jī)在訪問(wèn)Web信息時(shí)都易受到已知Java漏洞的攻擊。此外，為提高研究的準(zhǔn)確性，Websense安全實(shí)驗(yàn)室還對(duì)企業(yè)中Java版本的更新頻率進(jìn)行了調(diào)查研究。同時(shí)，在Java最新版本發(fā)布之后，他們?cè)僖淮瓮ㄟ^(guò)實(shí)時(shí)Web請(qǐng)求了解到了Java版本的使用情況。

Websense安全專家們的研究結(jié)果表明，Java補(bǔ)丁更新過(guò)程十分緩慢。該補(bǔ)丁發(fā)布一周之后，最新版本Java的平均使用率仍不足3%。2周之后，用戶使用率有所上升，略高于4%。一個(gè)月之后，也僅有近7%的用戶安裝了最新版本的Java。

然而，事實(shí)遠(yuǎn)不止如此，Websense安全專家們還發(fā)現(xiàn)，75%以上的用戶電腦中的Java版本至少已過(guò)時(shí)6個(gè)月了，其中近三分之二的已經(jīng)過(guò)時(shí)一年以上，超過(guò)50%的在用瀏覽器中的Java版本落后至少兩年。

通過(guò)對(duì)犯罪分子使用的犯罪工具的研究，Websense安全專家了解到，犯罪分子入侵企業(yè)網(wǎng)絡(luò)使用最多也是最成功的方法就是Java漏洞利用。犯罪分子成功入侵用戶電腦后，就會(huì)感染用戶電腦，竊取企業(yè)或用戶敏感數(shù)據(jù)。

如果僅有不足10%的企業(yè)通過(guò)補(bǔ)丁管理和版本控制來(lái)管理已知的重要Java漏洞，其余93%的企業(yè)要依靠什么安防措施來(lái)保護(hù)企業(yè)系統(tǒng)免遭攻擊入侵和數(shù)據(jù)竊取的威脅呢?Websense安全專家表示，企業(yè)應(yīng)當(dāng)設(shè)法通過(guò)充分利用Java版本更新來(lái)降低Java風(fēng)險(xiǎn)。

雖然依靠Java的主要網(wǎng)站的數(shù)量正在大幅下降，但Java漏洞帶來(lái)的風(fēng)險(xiǎn)卻在不斷上升。一些企業(yè)企圖以補(bǔ)丁管理作為解決方案來(lái)降低Java風(fēng)險(xiǎn)，其他的企業(yè)卻只想通過(guò)簡(jiǎn)單地關(guān)閉Java來(lái)實(shí)現(xiàn)這一目的。然而，由于種種原因，這兩種方法都不能實(shí)現(xiàn)。

許多企業(yè)都有依靠Java的關(guān)鍵業(yè)務(wù)應(yīng)用，其中許多應(yīng)用都依賴于特定的Java版本，不同用戶所需的Java版本不同，如果針對(duì)某一特定群體關(guān)閉了Java，很可能會(huì)造成業(yè)務(wù)應(yīng)用不可用。這也正是管理Java風(fēng)險(xiǎn)時(shí)最先遇到的挑戰(zhàn)。

補(bǔ)丁管理：桌面，移動(dòng)和自動(dòng)?

補(bǔ)丁管理是一個(gè)復(fù)雜的過(guò)程，Java的跨平臺(tái)性、Java的更新獨(dú)立于易受攻擊的應(yīng)用等因素都會(huì)影響補(bǔ)丁的管理，特別是對(duì)擁有遠(yuǎn)程用戶的企業(yè)而言，他們很難對(duì)移動(dòng)員工進(jìn)行補(bǔ)丁修復(fù)。

許多企業(yè)都運(yùn)行在管理嚴(yán)格的桌面環(huán)境中，安裝新補(bǔ)丁之前，補(bǔ)丁的應(yīng)用兼容性、系統(tǒng)穩(wěn)定性和其它重要因素都會(huì)得到仔細(xì)測(cè)試。單一更新與修復(fù)會(huì)慢慢蠶食關(guān)鍵業(yè)務(wù)應(yīng)用，因此Java補(bǔ)丁修復(fù)過(guò)程必須與快速演變的零日漏洞保持同步。當(dāng)前部署在企業(yè)中的安防措施可能會(huì)為企業(yè)提供兼容性和其它驗(yàn)證，也可能不會(huì)。

也有人認(rèn)為，自動(dòng)更新Java可以幫助用戶與Google使用的Chrome瀏覽器中的更新模型保持同步。但遺憾的是，該模型也未能解決Java零日漏洞頻發(fā)的問(wèn)題。新的漏洞和補(bǔ)丁發(fā)布之間仍有一定的差距。就在今年年初，新的Java漏洞在Java補(bǔ)丁發(fā)布的48小時(shí)內(nèi)就已迅速傳播，而且很快為黑客們所用。

混合最佳實(shí)踐可以降低Java風(fēng)險(xiǎn)

Websense安全專家表示，雖然打補(bǔ)丁、卸載Java、實(shí)施瀏覽器替代方法的混合戰(zhàn)術(shù)可以起到一定的防御效果，但防御效果不佳，實(shí)時(shí)防御才是保障企業(yè)安全最行之有效的方法。

值得注意的是，鑒于上述的種種挑戰(zhàn)，這里所說(shuō)的“卸載”只是一個(gè)相對(duì)概念。對(duì)多數(shù)企業(yè)而言，他們可以盡量刪除與Java相關(guān)的應(yīng)用來(lái)降低Java風(fēng)險(xiǎn)。例如：在企業(yè)中設(shè)置“Java禁用”。由于企業(yè)網(wǎng)站中需要依靠Java來(lái)實(shí)現(xiàn)的功能越來(lái)越少，因此除了少數(shù)關(guān)鍵業(yè)務(wù)應(yīng)用之外，禁用Java不會(huì)中斷企業(yè)網(wǎng)絡(luò)。

而對(duì)于那些需要Java進(jìn)行技術(shù)支持的網(wǎng)站和應(yīng)用來(lái)說(shuō)，為他們提供特定的Java工作站，將其與網(wǎng)絡(luò)中的其它部分分離也不失為一個(gè)好方法。許多IT企業(yè)都有舊的筆記本電腦，企業(yè)IT人員正好可以將這些舊電腦重設(shè)為Java工作站。此外，企業(yè)還可以采用雙瀏覽器的方法，一個(gè)主瀏覽器，一個(gè)用來(lái)訪問(wèn)指定應(yīng)用的輔助瀏覽器。將輔助瀏覽器配置為支持Java的瀏覽器，并且只允許這些瀏覽器訪問(wèn)指定網(wǎng)站，主瀏覽器中就可以完全刪除Java，這樣可以幫助企業(yè)降低Java風(fēng)險(xiǎn)。

安全解決方案需要加強(qiáng)零日意識(shí)

基于Java的零日漏洞仍在不斷更新，因此，即使是補(bǔ)丁管理、獨(dú)立Java機(jī)、多瀏覽器配置和其它控制方法也不能完全消除Java風(fēng)險(xiǎn)。此外，多數(shù)廠商并不能提供可以完全防御Java威脅的解決方案，因此新的安全解決方案必須加強(qiáng)對(duì)Java威脅的零日意識(shí)。

企業(yè)可以對(duì)應(yīng)用廠商施加壓力，確保他們提供的軟件能夠兼容最新版本的Java。企業(yè)內(nèi)部開發(fā)人員也需要加強(qiáng)安全最佳實(shí)踐的學(xué)習(xí)，并將其應(yīng)用在研發(fā)過(guò)程中。這包括通過(guò)避免非文件功能或工作區(qū)的使用來(lái)支持更新的程序。舊系統(tǒng)的應(yīng)用是將企業(yè)IT部門與較舊的Java版本聯(lián)系在一起的因素之一，企業(yè)在發(fā)展過(guò)程中往往會(huì)因逐漸減弱的安全性而付出代價(jià)。

Websense安全專家們表示，許多企業(yè)仍未意識(shí)到這一點(diǎn)，他們認(rèn)為即使存在零日漏洞，他們暴露在網(wǎng)絡(luò)威脅中的時(shí)間也不會(huì)很長(zhǎng)。企業(yè)應(yīng)真正了解零日漏洞與我們的研究之間的關(guān)系，這樣才能更好地面對(duì)當(dāng)前IT基礎(chǔ)架構(gòu)中存在的Java挑戰(zhàn)。